1. Home
  2. News
  3. Download
    1. Thunderbird
    2. Thunderbird Beta Version
    3. Language Pack (User Interface)
    4. Dictionaries (Spell Check)
  4. Help & Lexicon
    1. Instructions for Thunderbird
    2. Questions & Answers (FAQ) about Thunderbird
    3. Help for this Website
  5. Forums
    1. Unresolved Threads
    2. Latest Posts
    3. Threads of the last 24 hours
  • Login or register
  • 
  • Search
Safety instructions
  • Everywhere
  • Safety instructions
  • Forum
  • entry
  • Articles
  • Pages
  • More Options
  1. Thunderbird Mail DE
  2. Nachrichten
  3. Safety instructions

EFail und Thunderbird - nicht auf S/MIME oder PGP verzichten!

  • Thunder
  • May 16, 2018 at 6:05 PM
  • 7,774 Views

In den letzten Tagen wurde in den Medien über eine von Sicherheitsforschern entdeckte Lücke in den Verschlüsselungstechniken S/MIME und OpenPGP berichtet. Dabei wurde zu Unrecht empfohlen, auf die Verschlüsselungsmethoden zu verzichten. Die Verschlüsselungstechniken selbst sind aber weiterhin sicher! Problematisch ist bei vielen E-Mail-Programmen, dass man durch bestimmte Techniken den Programmen gestohlene verschlüsselte Nachrichten "unterschieben" und den dann entschlüsselten Inhalt an einen beliebigen Empfänger senden lassen kann. Lesen Sie bitte die folgenden kurz gefassten Hinweise dazu - Danke!

Achtung

EFail nutzt bzw. missbraucht aktive E-Mail-Inhalte in HTML-E-Mails (beispielsweise externe Grafiken oder auch externe Formatierungs-Stylesheets), um einen beliebigen E-Mail-Inhalt über einen so erzeugten Rückkanal an den Angreifer senden zu lassen. Das Problem dabei ist im Grunde die Art und Weise der jeweiligen Integration von S/MIME und PGP in den E-Mail-Programmen, wodurch entschlüsselte Inhalte im Hintergrund mehr oder minder unbemerkt an den Angreifer gesendet werden können.

Der Angreifer muss auf irgendeinem Weg an (verschlüsselte) E-Mails von Ihnen gelangt sein. Denkbar ist das Mitschneiden der Datenübertragung im Netzwerk, Diebstahl aus kompromittierten E-Mail-Postfächern, von E-Mail-Servern, Backup-Systemen oder auch von beteiligten Computersystemen der einzelnen Anwender. Der Datendiebstahl kann auch schon vor langer Zeit geschehen sein.

Der Angreifer manipuliert nun die zuvor gestohlene, verschlüsselte E-Mail in bestimmter Art und Weise. Diese manipulierte E-Mail sendet er inklusive des verschlüsselten ursprünglichen Inhalts an das Opfer (also an Sie). Ihr E-Mail-Programm (Thunderbird oder auch andere) entschlüsselt den eigentlich geschützten Teil, lädt den manipulativen externen aktiven Inhalt und sendet im Hintergrund den gerade entschlüsselten Klartext-Inhalt an den Angreifer.

Wann könnten Sie also betroffen sein?

  • Sie benutzen S/MIME- oder PGP-Verschlüsselung
  • und der Angreifer hat Zugriff auf verschlüsselte E-Mais von Ihnen

Wie Sie sich zumindest teilweise schützen können:

  • VERZICHTEN SIE NICHT AUF VERSCHLÜSSELUNG. Es ist besser, wenn Sie weiterhin sensible Daten verschlüsselt per E-Mail versenden, um diese zu schützen.
  • Kontrollieren Sie die Einstellungen Ihres E-Mails-Programms und bitten Sie Ihre Kommunikationspartner (mit denen Sie verschlüsselt per E-Mail kommunizieren), dies ebenfalls zu machen.

    Für Thunderbird beachten Sie folgende Anweisungen (bis Thunderbird Version 52.8.0 und 52.8.1 hoffentlich die Lücken schließen):
    • Lassen Sie externe Inhalte ("remote content") deaktiviert, damit diese nicht geladen werden - dies ist der Standard in Thunderbird!
    • Benutzen Sie vor allem bei verschlüsselten E-Mails NICHT die Funktion "Externe Inhalte in dieser Nachricht anzeigen", womit man in der gerade angezeigten Nachricht die Inhalte nachladen lassen könnte
    • Klicken Sie vor allem in verschlüsselten E-Mails möglichst NICHT auf Links oder interaktive Objekte, da auch dadurch der "Rückkanal" an den Angreifer ausgelöst werden könnte

Für die Zukunft:

Bedenken Sie, dass vergleichbare Sicherheitslücken - genau wie hier - oftmals durch die Anzeige von HTML-E-Mails und durch das Nachladen externer Inhalte möglich werden. Es ist also auch in Zukunft immer empfehlenswert in Thunderbird die Anzeige der E-Mails wenigstens auf "Vereinfachtes HTML" zu begrenzen (Menü Ansicht > Nachrichteninhalt > Vereinfachtes HTML). Dadurch werden nicht alle Sicherheitsrisiken vermieden, aber zumindest einige davon.

Enigmail zeigt in der aktuellen Version bei potentiell bedrohlichen E-Mails eine Warnung an, womit aber vermutlich nicht alle Angriffsszenarien behoben sind! Bitte aktualisieren Sie Enigmail mindestens auf Version 2.0.4 oder neuer.

Diskussion:

https://www.thunderbird-mail.de/forum/thread/79666/

EFail-Informationsseite:

https://efail.de/

Quelle:

https://blog.mozilla.org/thunderbird/20…nd-thunderbird/

Update 23.05.2018:

Inzwischen ist Thunderbird 52.8.0 erschienen, worin ein Teil der relevanten Sicherheitslücken behoben wurde. Außerdem ist inzwischen Enigmail in Version 2.0.5 mit weiteren Korrekturen erhältlich.

Update 16.06.2018:

Es wurden noch eine Reihe weiterer denkbarer Angriffsszenarien in der für OpenPGP zugrunde liegenden Software GnuPG gefunden. Man sollte GnuPG auf Version 2.2.8 aktualisieren. Außerdem ist inzwischen Enigmail in Version 2.0.7 mit weiteren Korrekturen erhältlich.

Update 24.06.2018:

Nachdem die Kombination von GnuPG 2.2.8 und Enigmail 2.0.7 bereits die Risiken für die OpenPGP-Verschlüsselung reduziert haben, wurde inzwischen durch Code-Änderungen für die kommende Thunderbird Version 60 das Risiko für die S/MIME-Verschlüsselung ebenfalls reduziert.

Update 11.07.2018:

Thunderbird Version 52.9.0 bzw. die nochmals korrigierte Version 52.9.1 enthalten jetzt ebenfalls die notwendigen Änderungen, um die S/MIME-Verschlüsselung abzusichern.

  • Achtung Next Article BigSig-Sicherheitslücke in Thunderbird 91.4.0 behoben

Current app version

  • Thunderbird 115.5.1 veröffentlicht

    November 28, 2023 at 2:53 AM

No Advertisements

There are no advertisements here. Maybe you give the website owner (Alexander Ihrig - aka "Thunder") instead something to be able to finance these sites in the long run. Many Thanks!

Thank you for the support!

Coffee Amount to be spent?

Donate now via Paypal*

*Forwarding to PayPal.Me

Categories

  1. News 192
  2. Recently common problems 19
  3. Safety instructions 2
  4. Reset Filter
Thunderbird Mail DE
  1. Imprint & Contact
  2. Privacy Policy
    1. Cookie Policy
  3. Terms of Use
  4. Donation Call for Thunderbird
Help for this website
  • All website support articles
  • How to use website search
  • How to create a forums user account
  • How to create and edit a forums thread
  • How to reset your forums password
Copyright © 2003-2023 Thunderbird Mail DE

You are NOT on an official page of the Mozilla Foundation. Mozilla®, mozilla.org®, Firefox®, Thunderbird™, Bugzilla™, Sunbird®, Seamonkey®, XUL™ and the Thunderbird logo are (among others) registered trademarks of the Mozilla Foundation.

Powered by WoltLab Suite™